top of page
  • Black Facebook Icon
  • Black YouTube Icon
  • Black Instagram Icon
  • Black Pinterest Icon
Search

Amankan Nginx Server dengan Let’s Encrypt di Ubuntu 18.04

  • Writer: Edi Sumarsono
    Edi Sumarsono
  • Dec 4, 2019
  • 4 min read

Amankan Nginx Server dengan Let’s Encrypt di Ubuntu 18.04 – Let’s Encrypt adalah otoritas sertifikat SSL gratis dan terbuka yang dikembangkan oleh Internet Security Research Group (ISRG). Sertifikat yang dikeluarkan oleh Let’s Encrypt dipercaya oleh hampir semua browser populer saat ini. Meskipun Let’s Encrypt gratis, tapi ini benar-benar sangat aman dan mendapatkan dukungan dari berbagai perusahaan besar seperti Mozilla, Google chrome, Facebook, Cisco dan masih banyak lagi.

Dalam panduan ini, saya akan memberikan petunjuk langkah demi langkah tentang cara mengamankan Nginx Anda dengan Let’s Encrypt menggunakan alat certbot di Ubuntu 18.04.

Daftar Isi


Persyaratan

Pastikan Anda telah memenuhi prasyarat berikut sebelum melanjutkan dengan panduan ini:

Instal Certbot

Certbot adalah alat berfitur lengkap dan mudah digunakan yang dapat mengotomatiskan tugas untuk mendapatkan dan memperbarui sertifikat SSL Let’s Encrypt dan konfigurasi server web untuk menggunakan sertifikat. Paket certbot sudah termasuk dalam repositori Ubuntu default.

Update daftar paket dan instal paket certbot:

$ sudo apt update$ sudo apt install certbot

Generate Strong Dh (Diffie-Hellman) Group

Pertukaran kunci Diffie–Hellman (DH) adalah metode pertukaran kunci kriptografi yang aman melalui saluran komunikasi yang tidak aman. Saya akan menghasilkan set parameter DH 2048 bit baru untuk memperkuat keamanan:

$ sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Jika suka, Anda dapat mengubah ukuran hingga 4096 bit, tetapi dalam hal ini, pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada entropi sistem.

Memperoleh Sertifikat SSL Let’s Encrypt

Untuk mendapatkan sertifikat SSL untuk domain saya, saya akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge. Server Let’s Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan ke server tempat certbot berjalan.

Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan untuk HTTP untuk .well-known/acme-challenge ke direktori tunggal, /var/lib/letsencrypt.

Perintah berikut akan membuat direktori dan membuatnya dapat ditulis untuk server Nginx.

$ mkdir -p /var/lib/letsencrypt/.well-known $ chgrp www-data /var/lib/letsencrypt $ chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode, buatlah dua snippet berikut yang akan saya sertakan dalam semua file blok server Nginx saya.

Buka editor teks Anda dan buat snippet pertama, letsencrypt.conf:

$ sudo nano /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }

Buat snippet ssl.conf yang mencakup chipper yang direkomendasikan oleh Mozilla, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan memberlakukan beberapa header HTTP yang berfokus pada keamanan.

$ sudo nano /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

Setelah snippet dibuat, buka blok server domain dan sertakan snippet letsencrypt.conf seperti yang ditunjukkan di bawah ini:

$ sudo nano /etc/nginx/sites-available/example.com

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

Untuk mengaktifkan file blok server baru, kita perlu membuat tautan simbolik dari file ke direktori sites-enabled yang dibaca oleh Nginx saat startup:

$ sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

Restart layanan Nginx agar perubahan diterapkan:

$ sudo systemctl restart nginx

Anda sekarang dapat menjalankan Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan menerbitkan:

$ sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika sertifikat SSL berhasil diperoleh, certbot akan menampilkan pesan berikut:

Output IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-07-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

Sekarang Anda memiliki file sertifikat, Anda dapat mengedit blok server domain Anda sebagai berikut:

$ sudo nano /etc/nginx/sites-available/example.com

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; # . . . other code }

Dengan konfigurasi di atas saya memaksa HTTPS dan mengalihkan dari versi www ke versi non www.

Reload layanan Nginx agar perubahan diterapkan:$ sudo systemctl reload nginx

Perpanjangan otomatis sertifikat SSL Let’s Encrypt

Sertifikat Let’s Encrypt berlaku selama 90 hari. Untuk secara otomatis memperbarui sertifikat sebelum habis masa berlakunya, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis akan memperbarui sertifikat apa pun 30 hari sebelum berakhirnya.

Karena kita menggunakan plug-in webroot certbot setelah sertifikat diperbarui, kita juga harus memuat ulang layanan nginx. Tambahkan --renew-hook "systemctl reload nginx" to the /etc/cron.d/certbot sehingga terlihat seperti ini:

$ sudo nano /etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

Untuk menguji proses pembaruan, Anda dapat menggunakan switch certbot --dry-run:

$ sudo certbot renew --dry-run

Jika tidak ada pesan kesalahan, itu berarti proses update telah berhasil.

Kesimpulan

Dalam panduan ini, Anda amankan Nginx server dengan menggunakan Let’s Encrypt klien, certbot untuk mengunduh sertifikat SSL untuk domain Anda. Anda juga telah membuat snippet Nginx untuk menghindari duplikasi kode dan mengonfigurasi Nginx untuk menggunakan sertifikat. Di akhir tutorial Anda telah menyiapkan cronjob untuk perpanjangan sertifikat otomatis.

Jika Anda ingin mempelajari lebih lanjut tentang cara menggunakan Certbot, Anda bisa langsung membaca pada dokumentasi Certbot.

Recent Posts

See All
Bisakah Anda Benar-benar Menjadi Kaya Dari Forex

<p>Trading forex dapat menjadi pilihan yang menarik bagi siapa saja dengan modal terbatas karena leverage-nya yang tinggi dan sifatnya yang fluktuatif, yang berpotensi menawarkan keuntungan yang signi

 
 
 
Memahami Perbedaan Utama Antara Saham &#038; Forex

<p>Pasar keuangan menawarkan berbagai cara bagi investor dan trader. Dua yang paling populer adalah pasar saham dan pasar valuta asing (forex). Meskipun keduanya melibatkan pembelian dan penjualan den

 
 
 

ความคิดเห็น

© 2023 by Info Ponsel. Ditenagai dan diamankan oleh Wix

  • Instagram
  • YouTube
  • Facebook
  • Pinterest
bottom of page